Skip to content
Obligations RGPD calendar_today Mis à jour: 7 mai 2026 schedule 9 min de lecture

Checklist RGPD pour les PME : 3 parties, 13 étapes

verified Dernière révision 7 mai 2026 · l'équipe juridique GDPRWise

Une checklist RGPD pratique et cochable pour les PME. Treize points répartis en trois blocs de priorité, avec modèles et outils, sans jargon juridique.

summarize Points clés
  • check_circle Treize vérifications concrètes, dans l'ordre de priorité ; les cinq premières sont la base que tout régulateur regardera
  • check_circle La plupart des PME mettent les bases en place en deux à quatre semaines à quelques heures par semaine
  • check_circle Pas besoin de DPO formel, de DPIA ou de consultant externe pour les bases ; il faut de la discipline et les bons modèles
  • check_circle La conformité est une opération continue, pas un projet ponctuel ; les trois dernières étapes la maintiennent vivante

Comment utiliser cette checklist

Voici une checklist en treize étapes qu’un dirigeant de PME ou un office manager peut parcourir sans formation juridique. Les points sont ordonnés par priorité. Les cinq premiers couvrent les bases que tout régulateur regardera. Les quatre suivants sont les essentiels opérationnels. Les quatre derniers maintiennent votre posture de conformité vivante dans le temps.

Vous n’avez pas besoin de tout faire en même temps. La plupart des PME bouclent les cinq premières étapes en deux à quatre semaines à raison de quelques heures par semaine, puis ajoutent le reste.

Vous venez de démarrer et même cela semble trop pour le jour un ? Commencez par Conformité RGPD PME : le minimum à mettre en place, une base plus légère en cinq étapes ancrées dans la transparence. Une fois ces fondations posées, revenez ici pour ajouter le reste.

Partie 1 - Les bases (étapes 1 à 5)

Étape 1: Désigner un coordinateur vie privée

La vérification: une personne nommée dans votre organisation est responsable du RGPD.

Ce n’est pas un rôle formel de DPO ; ce dernier est réservé aux organisations qui surveillent à grande échelle ou traitent des catégories particulières à grande échelle. Pour la plupart des PME, “coordinateur vie privée” est le bon titre : même point de contact unique, pas d’obligations formelles, pas d’exigences d’indépendance.

Le rôle du coordinateur : tenir cette checklist à jour, recevoir les questions et réclamations entrantes, et être l’interlocuteur de votre autorité de contrôle si quelque chose tourne mal.

  • Un coordinateur vie privée est désigné et joignable sur une boîte dédiée (par exemple privacy@votreentreprise.com).
  • Le rôle est documenté et connu du reste de l’équipe.

Avez-vous réellement besoin d’un DPO ? Lisez DPO : qu’est-ce qu’un délégué à la protection des données et en faut-il un ?.

Étape 2: Tenir un registre des traitements RGPD

La vérification: un document unique listant chaque activité dans laquelle vous traitez des données personnelles.

C’est la première chose que votre autorité de contrôle demandera si elle frappe à votre porte. C’est aussi votre propre inventaire central : si vous ne savez pas quelles données vous traitez, vous ne pouvez rien respecter d’autre dans cette liste.

Pour chaque activité de traitement, consignez :

  • L’objectif (pourquoi vous traitez les données)
  • La base légale (consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, ou intérêts légitimes)
  • Les catégories de données (noms, e-mails, financier, santé, etc.)
  • Les personnes concernées (clients, salariés, fournisseurs, prospects)
  • Les destinataires / tiers (votre comptable, fournisseur CRM, hébergement, etc.)
  • La durée de conservation
  • Les mesures de sécurité

Tenez des sections séparées pour les activités où vous êtes responsable de traitement et celles où vous êtes sous-traitant pour quelqu’un d’autre. Lisez Registre des activités de traitement pour la structure complète.

  • Le registre des traitements existe et liste toute activité touchant des données personnelles.
  • Les activités de responsable et de sous-traitant sont consignées séparément.
  • La date de revue annuelle est dans l’agenda.

Étape 3: Une politique de confidentialité client adaptée

La vérification: une politique de confidentialité sur votre site, rédigée spécifiquement pour votre activité.

Le RGPD est explicite : du boilerplate vague, des politiques copiées-collées ou du jargon legal qui ne reflète pas votre réalité ne sont pas conformes. La politique doit décrire vos processus, vos bases légales, vos sous-traitants.

Une politique conforme pour une PME couvre :

  1. Qui vous êtes (responsable, e-mail de contact, adresse).
  2. Les activités de traitement que vous menez (à haut niveau, en miroir de votre registre).
  3. La base légale pour chacune.
  4. Les catégories de données et les destinataires (y compris les plateformes comme Mailchimp, Stripe, Google Workspace).
  5. Les durées de conservation.
  6. Les transferts internationaux, le cas échéant.
  7. Les droits des personnes concernées et comment les exercer.
  8. La voie de réclamation auprès de votre autorité de contrôle.

Publiez la politique comme lien de premier niveau dans le pied de page de chaque page du site. Ne l’enterrez pas dans des conditions générales.

Ne copiez pas une politique d’un autre site. Lisez Rédiger une politique de confidentialité pour le guide complet.

  • La politique de confidentialité client est publiée.
  • Liée depuis le pied de page de toutes les pages.
  • Reflète ce que vous faites réellement (pas de boilerplate).
  • Inclut les droits des personnes concernées et la voie de réclamation.

Étape 4: Signer un contrat de sous-traitance avec chaque sous-traitant

La vérification: un contrat de sous-traitance signé avec chaque tiers externe qui traite des données personnelles pour votre compte.

Sans contrat de sous-traitance, vous n’avez pas le droit d’envoyer de données personnelles à un sous-traitant. C’est vrai même si le sous-traitant est un nom connu comme Google ou Microsoft : c’est votre obligation d’avoir le contrat en place.

Sous-traitants typiques d’une PME :

  • Plateforme e-mail et marketing (Mailchimp, ActiveCampaign, Brevo, etc.)
  • CRM (HubSpot, Pipedrive, Salesforce, etc.)
  • Stockage cloud et bureautique (Google Workspace, Microsoft 365)
  • Hébergement web et CDN
  • Prestataire de paiement (Stripe, Mollie, Adyen)
  • Paie et comptabilité
  • Outils de support client

La plupart des grands SaaS publient un contrat standard que vous pouvez signer électroniquement. Pour les fournisseurs plus petits, envoyez votre propre modèle.

description

Modèle : contrat de sous-traitance (DPA)

Un contrat de sous-traitance prêt à l’emploi, à envoyer à tout sous-traitant qui n’en a pas le sien.

Voir le modèle arrow_forward
  • Chaque sous-traitant de votre registre a un contrat signé au dossier.
  • Les contrats sont stockés centralement et retrouvables.

Étape 5: Mettre en place le consentement cookies (si vous déposez des cookies)

La vérification: une bannière cookies qui demande le consentement avant tout cookie non-essentiel, et qui propose un vrai bouton de refus.

Les cookies qui peuvent identifier un visiteur traitent des données personnelles. Sous le RGPD plus la directive ePrivacy, le consentement est requis avant le dépôt, et il doit être éclairé, libre et aussi facile à refuser qu’à accepter.

Erreurs courantes que les régulateurs sanctionnent :

  • Cookies déposés au chargement de la page, avant la bannière.
  • Bouton “Accepter” affiché en évidence tandis que “Refuser” est caché ou plus difficile.
  • Cases pré-cochées.
  • “En utilisant ce site, vous acceptez les cookies” : ce n’est pas un consentement, c’est une mention.

Testez votre propre site : ouvrez-le en navigation privée, refusez les cookies, et regardez la liste des cookies dans les outils développeur. S’il y a quelque chose de non-essentiel, votre flux de consentement est cassé.

Une option plus calme : ne pas utiliser de cookies non-essentiels du tout. Beaucoup de PME fonctionnent très bien sans tracking tiers.

Lisez Cookies et consentement : ce qu’il faut savoir pour le panorama complet.

description

Modèle : audit des cookies

Modèle tableur pour inventorier chaque cookie de votre site, le classer (essentiel / fonctionnel / marketing / tracking) et décider lesquels garder.

Voir le modèle arrow_forward
  • Aucun cookie non-essentiel n’est déposé avant le consentement.
  • Le refus est aussi visible que l’acceptation.
  • L’inventaire des cookies existe, avec finalité et durée par cookie.

Partie 2 - Opérations (étapes 6 à 9)

Étape 6: Opérationnaliser les droits des personnes concernées

La vérification: une procédure documentée pour traiter les demandes de droits, avec modèles et registre.

Les personnes dont vous traitez les données peuvent demander l’accès, la rectification, l’effacement, la limitation, la portabilité, ou s’opposer au traitement. Vous avez un mois pour répondre (extensible à trois mois pour les cas complexes). Manquer le délai est un favori des régulateurs en matière de sanctions.

Ce qu’il vous faut :

  • Une boîte surveillée où les demandes arrivent (souvent l’adresse privacy@ de l’étape 1).
  • Un processus interne documenté : qui trie, qui exécute, qui valide.
  • Des modèles pour les réponses standard.
  • Un registre permettant de prouver que vous avez traité les demandes précédentes dans les délais.

Lisez Droits des personnes concernées RGPD pour les neuf droits.

description

Modèle : réponse à une demande d'accès

Réponses types pour les demandes d’accès, de rectification et d’effacement, plus un registre des demandes.

Voir le modèle arrow_forward
  • La boîte vie privée est surveillée.
  • La procédure de traitement des demandes est documentée.
  • Les modèles de réponse et le registre sont prêts.

Étape 7: Procédure de violation et notification sous 72 heures

La vérification: une procédure documentée qui vous mène de “quelque chose a mal tourné” à une notification au régulateur en moins de 72 heures.

Une violation, ce n’est pas seulement un hacker. Cela inclut un collègue qui envoie des données clients au mauvais destinataire, une clé USB perdue, un portable volé, une suppression accidentelle, ou une sauvegarde mal configurée qui fuit des enregistrements.

Ce qu’il vous faut :

  • Un registre interne des incidents (chaque incident, qu’il soit notifiable ou non).
  • Un test clair : ce qui doit être notifié au régulateur (probable risque pour les droits et libertés des personnes) et ce qui doit être notifié aux personnes concernées (risque élevé).
  • Les coordonnées de votre autorité de contrôle pré-remplies dans la procédure : pas de panique à l’heure zéro.
  • Des modèles de notification prêts.

Lisez Violation de données personnelles : que faire.

description

Modèle : notification de violation

Formulaire de notification pour l’autorité de contrôle et modèle de notification aux personnes concernées.

Voir le modèle arrow_forward
  • La procédure de violation est documentée et connue de l’équipe.
  • Le registre interne des violations existe.
  • Les modèles de notification sont pré-remplis avec les coordonnées de votre autorité de contrôle.

Étape 8: Marketing direct - source et opt-out

La vérification: chaque message de marketing direct (e-mail ou SMS) inclut un opt-out fonctionnel, et vous pouvez prouver d’où provient la donnée du destinataire.

Le RGPD plus l’ePrivacy ajoutent deux exigences que les PME oublient souvent :

  1. Mention de la source. Vous devez pouvoir dire au destinataire d’où viennent ses données personnelles (inscription sur votre site, récupération depuis une liste publique, achat auprès d’un partenaire, etc.). Cela implique un processus pour capturer la source à chaque import et chaque inscription.
  2. Opt-out dans chaque message. Un lien “se désabonner” fonctionnel dans chaque e-mail de marketing direct. La plupart des plateformes (Mailchimp, Brevo, etc.) le gèrent par défaut, mais vérifiez.

Une fois désabonné, le destinataire ne doit plus recevoir de messages similaires, définitivement. Le re-inscrire plus tard parce qu’il est entré dans un autre tunnel est une amende.

Lisez Marketing direct sous le RGPD.

  • Chaque e-mail marketing a un désabonnement en un clic.
  • La source est capturée pour chaque entrée de liste.
  • La liste de suppression est respectée dans tous les outils (CRM, plateforme marketing, audiences publicitaires).

Étape 9: Une politique de confidentialité distincte pour le personnel

La vérification: une politique de confidentialité dédiée aux salariés et contractants, séparée de celle des clients.

Les données que vous traitez sur le personnel (paie, performance, maladie, évaluations, suivi du temps) sont très différentes des données clients. C’est aussi la source de la plupart des plaintes RGPD lorsqu’une relation de travail se termine. Une politique personnel dédiée vous protège.

Ce qu’elle doit contenir :

  • Les systèmes RH et ce qu’ils contiennent.
  • La performance, la maladie, les évaluations.
  • Le monitoring (mail, internet, accès aux locaux, caméras) et sur quelle base légale.
  • La durée de conservation : combien de temps après le départ vous gardez le dossier.
  • Leurs droits et comment les exercer.

Lisez Politique de confidentialité des salariés : ce qu’il faut leur dire.

  • La politique personnel existe et est remise à chaque nouvelle recrue.
  • Liée ou jointe au contrat de travail.
  • Revue annuellement.

Partie 3 - Vigilance accrue (étapes 10 à 13)

Étape 10: Vérification des catégories particulières

La vérification: vous avez explicitement identifié si vous traitez des catégories particulières de données, et si oui, sur quelle base légale.

L’article 9 du RGPD interdit le traitement de ce qui suit, sauf si l’une des neuf exceptions spécifiques s’applique :

  • Origine raciale ou ethnique
  • Opinions politiques
  • Convictions religieuses ou philosophiques
  • Appartenance syndicale
  • Données génétiques ou biométriques
  • Données de santé
  • Données concernant la vie sexuelle ou l’orientation

La plupart des PME ne traitent rien de cela intentionnellement. Mais vous y touchez peut-être sans le savoir : un arrêt maladie (santé), une préférence alimentaire pour un événement (potentiellement religion), une taille d’uniforme (potentiellement santé), un CV avec photo (potentiellement origine).

Parcourez votre registre des traitements et marquez tout ce qui touche la liste ci-dessus. Pour chaque, documentez l’exception de l’article 9 (le plus souvent : consentement explicite, obligation de droit du travail, ou intérêts vitaux). Si vous ne trouvez pas de base, arrêtez le traitement.

  • Chaque entrée du registre des traitements est vérifiée pour les catégories particulières.
  • Lorsqu’elles sont présentes, l’exception de l’article 9 est documentée.

Étape 11: Revue des pratiques de sécurité

La vérification: les mesures de sécurité associées à chaque système de votre registre sont documentées et adéquates.

Pas de vie privée sans sécurité. L’autorité de contrôle et toute sanction évaluent “approprié” relativement à la sensibilité des données, l’état de l’art et le coût. Une PME n’a donc pas besoin d’une sécurité niveau bancaire, mais de basiques défendables.

Parcourez votre registre, système par système. Pour chacun :

Sécurité physique

  • Pour les SaaS hébergées dans le cloud : appuyez-vous sur les certifications du fournisseur (ISO 27001, SOC 2). Conservez la preuve dans votre dossier DPA.
  • Pour les équipements auto-hébergés : verrouillez la salle serveur, le classeur, le bureau. Lisez Sécurité des documents papier pour ce qui n’est pas à l’écran.

Sécurité des systèmes et logiciels

  • Derniers correctifs de sécurité installés.
  • Mots de passe robustes imposés ; double authentification là où le système la prend en charge.
  • Accès sur la base du besoin de connaître ; revue semestrielle des accès.
  • Lisez Contrôle d’accès périodique.

Sécurité des données

Sécurité des fournisseurs

  • DPA au dossier (couvert à l’étape 4).

  • Pour les sous-traitants très sensibles : liste des sous-sous-traitants revue.

  • Chaque système du registre a une revue de sécurité documentée.

  • Les sauvegardes sont testées au moins une fois par an avec une vraie restauration.

  • Les revues d’accès sont planifiées.

Étape 12: Sensibilisation à la vie privée et code de conduite

La vérification: chaque membre du personnel qui manipule des données personnelles a suivi une sensibilisation à la vie privée dans les douze derniers mois.

Le facteur humain est la source la plus constante de violations : phishing, BCC contre CC, pièces jointes au mauvais destinataire, mots de passe faibles, comptes partagés, portables non chiffrés rentrés à la maison. Aucun de ces cas n’est un échec technique. Ce sont des échecs de formation.

Un programme défendable pour une PME :

  • Session annuelle de sensibilisation vie privée et sécurité pour tout le personnel (en ligne, 30 à 60 minutes).
  • Session d’onboarding pour les nouveaux avant qu’ils ne touchent aux données personnelles.
  • Un code de conduite signé par chacun, couvrant la vie privée, la sécurité et le comportement éthique.

Lisez Le facteur humain dans les violations de données et Vie privée et éthique : code de conduite.

  • La formation est donnée chaque année et à l’onboarding.
  • La participation est suivie et conservée.
  • Le code de conduite est signé par chaque membre du personnel.

Étape 13: Aspects internationaux et revue annuelle

La vérification (le cas échéant): si vous servez des clients UE depuis l’extérieur de l’UE, ou opérez dans plusieurs pays UE, les spécificités transfrontalières sont réglées.

Vous êtes hors UE mais y vendez: l’article 27 impose un représentant basé dans l’UE. La voie la plus économique est un service commercial de représentant article 27.

Vous opérez dans plusieurs pays UE: identifiez votre autorité chef de file, c’est celle du pays où se trouve votre établissement principal (ou les décisions principales sur le traitement). Cette autorité mène tout dossier transfrontalier sous le mécanisme du guichet unique.

Transferts transfrontaliers: si vous transférez des données personnelles hors UE/EEE, documentez le mécanisme de transfert (décision d’adéquation, Clauses Contractuelles Types, Règles d’Entreprise Contraignantes) pour chaque système. Lisez Pays tiers approuvés pour le transfert hors UE.

La revue annuelle: une fois par an, parcourez chaque vérification de cet article et confirmez qu’elle est encore à jour, exacte et complète. De nouveaux outils, de nouveaux salariés, de nouveaux processus et de nouveaux sous-traitants se glissent au fil de l’année ; la revue annuelle est ce qui maintient la checklist honnête plutôt qu’aspirante.

Faites particulièrement attention à ces quatre items, où la dérive est la plus fréquente :

  • Registre des traitements re-parcouru - chaque entrée vérifiée, nouvelles activités ajoutées, anciennes retirées.
  • Chaque politique liée est encore exacte - politique client, politique personnel, politique cookies, procédures internes.
  • Revue de sécurité refaite par système - correctifs, revue des accès, test de restauration, état du chiffrement.
  • Formation du personnel rafraîchie - tous ont fait la session annuelle ; les nouveaux sont formés ; code de conduite signé au dossier.

Et les spécificités transfrontalières :

  • Représentant article 27 en place si vous vendez vers l’UE depuis hors UE.
  • Autorité chef de file identifiée pour les opérations transfrontalières.
  • Transferts internationaux documentés par système.
  • Date de la prochaine revue annuelle dans l’agenda.

Checklist principale (version compacte)

Imprimez cette page ou copiez ce qui suit dans votre tracker.

Documentation

  • Coordinateur vie privée désigné, boîte privacy@ active
  • Registre des traitements complet
  • Politique de confidentialité client publiée, lien dans le pied de page
  • Politique personnel remise à chaque recrue
  • DPA signés avec chaque sous-traitant
  • Inventaire cookies et flux de consentement valides

Opérations

  • Procédure et modèles de demandes de droits prêts
  • Procédure de violation et modèles de notification 72h prêts
  • Marketing direct : source capturée, opt-out fonctionnel, suppression respectée
  • Catégories particulières identifiées et légalement justifiées

Sécurité et personnes

  • Revue de sécurité par système documentée
  • Sauvegardes testées par vraie restauration
  • Formation annuelle vie privée et sécurité suivie par chacun
  • Code de conduite signé
  • Représentant article 27 si hors UE
  • Date de revue annuelle dans l’agenda

Mythes courants et ce dont vous n’avez pas réellement besoin

lightbulb Ne vous laissez pas avoir

Le RGPD est souvent présenté comme plus lourd qu’il ne l’est pour une PME. Une partie de ce que vous entendez est mythe, et une partie de ce qu’on vous vend n’est pas réellement obligatoire. La liste ci-dessous tranche les deux.

Mythes courants en PME

  • “Le RGPD ne concerne que les grandes entreprises.” Il s’applique à quiconque traite des données personnelles, quelle que soit la taille. Lire pourquoi.

  • “Les petites entreprises ne sont jamais sanctionnées.” Si, et les amendes s’adaptent à ce qu’une PME peut payer. Lire la suite.

  • “Le RGPD c’est juste les cookies.” Les cookies sont une part ; les obligations couvrent tout traitement de données personnelles. Lire la suite.

  • “Je n’ai pas de données personnelles.” Si vous avez des clients, du personnel ou des fournisseurs, vous en avez quasi certainement. Lire la suite.

  • “Les autorités ne s’intéressent pas à moi.” La plupart des contrôles partent d’une plainte d’un individu, pas d’un audit proactif. Lire la suite.

Ce que vous pouvez sauter (en PME)

  • Un DPO formel - sauf si vous faites de la surveillance à grande échelle ou du traitement à grande échelle de catégories particulières. Le coordinateur vie privée de l’étape 1 couvre le reste.

  • Une DPIA pour les traitements de routine - elle est requise pour les nouveaux traitements à haut risque (surveillance systématique à grande échelle, catégories particulières à grande échelle, décisions automatisées à effet juridique).

  • Un consultant externe coûteux - les bases sont gérables en interne avec les bons modèles et outils.

  • Un avocat spécialisé sous contrat - le site de votre autorité de contrôle propose des guides PME, et une revue légale ponctuelle en fin d’année suffit largement.

auto_awesome Boucler la checklist en 15 minutes ?

GDPRWise scanne votre site et remplit automatiquement la majeure partie de cette checklist : registre des traitements, politique de confidentialite, audit cookies et liste d'actions adaptee.

Partager share LinkedIn mail E-mail
GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.